аа) ови Е Ащит 


м 


# ммпоат! 
* ОеуОр$ специалист 
® Играю в СТЕ команде ОМО более 2 лет 


® Один из организаторов \МгпСТЕ 


(но) ННЕоаа"" 


Сотатег (?) УМ 


Е (но) ННГоаа"" 


УМ 


Соптатег | 


7 (нь) ННЕоаа"" 


Соп{аштег != УМ 


\ММииа[ птасте$ 


\МАВТУАЕ МАСНИМЕ \МУВТУАЕ МАСНИМЕ \МИВТЧАЕ МАСН!МЕ 


АррА АррВ Аррс 


Вт$/ИЬ$ Вт$/ИЬ$ Вт$/ИЬ$ 


Сче${ 05$ Сче${ 05$ Счез{05$ 


СОМТА!МЕВ 


АррА 


Вт$/4Ь$ 


Согхатег$ 


СОМТА!МЕВ 


Арр В 


Вт$/ИЬ$ 


СОМТАИМЕВ 


АррС 


Вт$/4Ь$ 


Так в чем же разница, Карл? 


Контейнер — виртуализация идет на программном уровне (все, что 
выше уровня операционной системы) 


Виртуальная машина -— виртуализация идет на всех уровнях вплоть 
до железа 


6 (нь) НаНоаа"* 


(пих Матезрасе$ 


Это абстракция над ресурсами одной ОС. В современном ядре Ипих 


есть / пространств имен. 

® Сэгоир$ 

® [РС (тщегРгосе$$СоппесНоп) 
® Мегмогк 

® Мои 

° РО 

® 05ег 

° 01$ 


(но) ННЕоаа"" 


Сараб|1е$ 


Разрешения процессов на исполнение служебных вызовов. Их 
около 20, определены в сара ИШе$.п 


° САР_СНО\ММ — смена Уи СЮ 
° САР_КШЕ — посылка сигналов $1КИ|, “={егт, $121 
° САР_$\$_МООЦЕЕ - установка модулей ядра 


° САР_$\У$ АОМИМ — монтирование и размонтирование файловых 
систем 


8 (нь) НаНоаа** 


Тварь я дрожащая 


= * 


Или право на Во0Т имею 


Как сделать дырявый 


» Чоскег гип <!таёе_пате> -- 
ри\Пегеа 


» ЧосКег гип <!таёе_пате> -- 
сар-аЧа <сараб|е$> 


° Вендорные приколы, о 
которых вам не сказали 


контейнер? 
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Что можно сделать в привилегированном 
контейнере? 


® Смонтировать хостовую ФС в контейнер (потому что можем) 
° Если есть прокинутый аосКег даетоп $осКе*{ — вообще подарок! 


» Можно каким-то способом заставить хост выполнить геуегзе-зПе| 


11 (НЕ) Миноаа" 


Похакать ЧоскКег через геуег$е-5Пе! 


12 (НЕ) Минеоаа" 


Ке\уегсе-5Пе!| \МНЕМ УОИТОЗЕУСИВ 


Это перенаправление оболочки 
ввода-вывода (консоль) 
атакуемой машины себе 


сар$П 


Утилита по выводу установленных на контейнер сараб|Ше$. Можно 
вызвать прямо из контейнера 


# сарзй --рити+ 
Сиггеи*: сар_сПоми , сар_аас_оуеггтае ‚, сар_+ 
сар_пе+_гам , сар_5у$_тоаиТе , сар_$у$_сИгоо* 


Воипатид $еф =сар_сПомп , сар_аас_омеггтае, 
у1се , сар_пе+_гам , сар_5у$_тоаи1е , сар_$Уу$_с 
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Сам сплойт 


#11тс1иаде 
#1пс Шае 


МОБИ Е_1ТСЕМЗЕ 
МОБИЕЕ_АУТНОВ 
МОБИЕЕ_ОЕЗСВТРТТОМ 
МОБИ Е_\МЕВ$ЗТОМ 
спагж агду[] = 


$та{1с сПпагж епур[] = 
5фат1с 1п{ __1п1* геуег$е_5пе11_1п1{ (\019 
гефигп са \_изегтодеве1рег(агду [9], агду, епур, ИМН_МАТТ_ЕХЕС); 


5фа+1с \014 __ех1{ геуег$е_5Пе1_ех1т(\о19 
рг1п{К ( КЕВМ_ТМЕО \п"); 


тоди1е_1п1* ( геуег5е_5пе11_1п1*); 
тоди1е_ех1+ (геуег5е_5Пе11_ех1т); 


(нь) ННЕоаа"" 


Что с ним делаем? 


» Компилируем, получаем .Ко-модуль (Кегпе| обес!) 
® пс --мМпр <"ОЧЕ_РОКТ> — слушаем порт 


® путо4 $рок.Ко — помещаем в модуль Ипих Кегпе! 
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(но) ННЕоаа"" 


Поздравляю! Вы великолепны! 


Возьмите в награду БД с персональными 
данными 


17 (НЕ) Миноаа" 


А где же К85$? 


КирегпЕе$ 


ПО для оркестрации контейнерных 
приложений: 


° Автоматизации развертывания 


* Поддержания жизнедеятельности заданног 
количества реплик 


И еще много всего интересного 
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ВЕАНЕТЕС 
(®|®` 


Куб безопасен, у нас есть КВАС! 


Кое Вазе4 Ассе$$ Соп\го| — система 
разделения прав на выполнение 
операций в кластере, основанная 
на ролях 


20 (НЕ) Нинеоая" 


КВАС никак не влияет на привилегии 
контейнеров! 


21 (НЕ) Минеоаа" 


Как стать хакером в К8$ за 2 минуты? 


22 (НЕ) Минеоаа" 


Пролог 


® Липог-котик только вышел в новую продуктовую команду 


23 (нь) ННГоаа"* 


24 (нь) НИЕНЬоаа"* 


Пролог 
° Л ип!ог-кКотик ТОЛЬКО вышел в новую продуктовую команду 


° Разработал новую фичу для микросервиса команды 


25 (НЕ) Минеоаа" 


Пролог 


® Липог-котик только вышел в новую продуктовую команду 
® Разработал новую фичу для микросервиса команды 


® Скопировал Пе|т-чарт у соседней команды - приклад падает 


26 (НЕ) Миноаа" 


Пролог 

° липГог-котик только вышел в новую продуктовую команду 

® Разработал новую фичу для микросервиса команды 

® Скопировал Пе|т-чарт у соседней команды - приклад падает 


® ЧаскОуегНом/ посоветовал добавить полей в манифест 


27 (НЕ) Миноаа" 


Заставим наш под не умирать 


пате: Баскег 
|таге: ибити:22.04 
соттапа: |"/Бт/$И" 


агэ<: |"-с", "ммИПе {гие; ао $еер 2;4опе" 
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(но) ННГоаа"" 


Разрешим не изолироваться от хоста 


5рес 
По${Метм/огк: {гие 
По$РС: {гие 
ПОР: {гие 
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(но) ННГоаа"" 


До кучи он еще и привилегированным 
будет! 


сесигКуСотщехж{ 
а|оми/РимНезеЕса[а{оп: {гие 
ри\мПегеа: {гие 


30 


(но) ННГоаа"" 


Заставим под уехать на мастер 


поде$е[есфог 


поае-гое.Кибегпее$ 1о/таз\ег 


31 (нь) НИЕНЕоаа"" 


А если на мастер шедулиться нельзя? 


32 (НЕ) Манова" 


Нам можно! 


{о|егаЧоп$ 
еНес*: Мо$сЛеац!е 
орегатог: Ех!${5 


33 (нь) НИЕНЬоаа"* 


И самое главное! 


мо|ите$ 
пате: По$\о| 
По5{Ра{й 
рати: / 


моитеМочци{$ 
очцп(Ра{й: /Ао${ 


пате: По$\о| 


34 НЕ) НеНоаа"" 


Эпилог — отчего зашищаемся 
° Предоставляем К85$ как сервис 


° ли пог-котик сделал себе в коде 
рр т$а| добму татег:6.9.6 


® Теперь компания тратит электроэнергию в пользу благородных 
хакеров 


35 (НЕ) Минеоаа" 


Будем лечить! 


36 (нь) № 


Аат!5$ оп Сотмго|ег 


Валидатор и модификатор манифестов. Встроен в К85$ 


АР! гедие$ Рон  АНепбсавбоп о \Майдавпа Регзвиеа 
еее АщпопгаНоп \Мабдабоп адти$юп {© е!{сд 


37 (НЕ) Нинеоая" 


Роа 5$есигку Адп115 оп 


Объявляет особый Адп1!5$1оп Сотго[ег, который следит за 
соблюдением политик безопасности в кластере 


® ЕпТогсе 
® АСК 


» \/агп 


38 (НЕ) Минеоаа" 


Роа 5$есигКу ЗЗапЧаг$ 


Предоставляет три заготовленных профиля (1е\е|5) безопасности 
для Роа 


® Ри\Педеа 
® Вазете 


»е Веицщеа 


39 (НЕ) Минеоаа" 


Вешаем на Матезрасе лейбл 


. ро4-зесигКу.Кибегпае$.1юо/<МОВЕ>: <ЕЕ\МЕЕ> 


. ро4-зесигКу.Кибегпее$.10/<МОВЕ>-\мег$!оп: <МЕВ$ОМ> 


40 (НЕ) Нинеоая" 


Классно, но это работает только с версии 
кластера 1.23 


41 (НЕ) Минеоаа" 


Роа $есигКу РоЙсе$ (Чергесжеяд) 


УАМ!-манифест, в котором можно указать, какие вещи из 
есигКуСотехЕ и какие настройки в манифесте пода мы можем 
запретить 


42 (НЕ) Миноаа" 


5есигКуСотщех{ 


® ГИПА$МопКоос* 

® ГИПА$05$ег / гипА$Сгоцр 
® зе пихОрйоп$ 

® сессотрРгоШе 

° Риуе|ереа 
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(нь) ННЕоаа"* 


5есигКуСотщех{ 


® Сара |е$ 

» Кеад-оп|у Шезузет 
® ргосМоиг 

® 15Сгоир 

® 555 
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(но) ННЕоаа"* 


Посмотреть на систему глазами хакера 


45 (НЕ) Манова" 


РЕА$5-п5 


Набор скриптов для поиска привилегированных инструкций и их 
дальнейшей эскалации 


КЕр$://2ИРиЬб.сот/са|о$ро!ор/РЕА$5$-пг 


46 (НЕ) Минеоаа" 


НиРЕДФ 


Скрипт для поиска уязвимостей на Ипих-серверах и контейнерах 


Можно запустить в любом поде кластера и посмотреть отчет по 
потенциальным уязвимостям 


47 (НЕ) Манова" 


СОК 


Статический бо-бинарь, который не только составит вам отчет об 
изолированной среде, но и предложит возможный эксплойт 


КЕр$://2ИПиб.сот/саК-{еат/СОК 


48 (НЕ) Миноаа" 


А есть тулзы только для аудита? 


49 (НЕ) Минеоаа" 


С $ Кибегпее$ Вепсйтагк 


КЕр$://2ИПиЬб.сот/аачцазесигку/Кибе-БепсИ 


50 (НЕ) Миноаа" 


А что насчет сетевого трафика? 


51 НЕ) НеНьоаа"" 


Меймогк Ройсу 
Встроенный Ягем/а! в К8$ прямо из коробки (0$ 3-4) 


Можно легко настроить тэге$$ и еэгез$ для объектов К8$ 


52 (НЕ) Минеоаа" 


Ресурсов много не бывает 


53 (НЕ) Минеоаа" 


КезоигсеОнцота$ & ИтиКапёе 
® Позволяет вам ограничить Матезрасе по ресурсам 


® Можно также и поды ограничить по ресурсам, количеству 
запущенных 


» Избавит вас от проблем, когда кто-то сделает 
1000000000000 подов в кластере и положит его 
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(но) ННЕоаа"" 


Эта презентация тут 
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